我的网站为用户提供丰富的内容。我经常订阅第三方供应商,我的内容嵌入到我的网页中。如何在iframe中安全地将外部域名内容嵌入我的网页,而不必担心他们无法突破框架。他们不会故意这样做(不会冒他们的客户/声誉)。然而,由于它们几乎总是小商店,因此对于想要破坏/重定向我的网站的攻击者而言,它们成为了一个多汁的目标。
我不是在问我如何阻止iframe访问父框架的DOM,我知道它不能。我问我们如何阻止iframe停止执行以下操作(它不需要访问父级DOM):
top.location=url
是否有一个标题(类似于/与X-Frame-Options相反),我可以在我的父页面上使用它来确保我嵌入的iframe能够破灭?请记住,我不能要求供应商在其页面中添加标题/脚本。他们从不故意想对我的页面做些邪恶的事情。我试图涵盖的情况是他们被黑客攻击的情况。
答案 0 :(得分:1)
如评论中所述,sandbox属性可以阻止iframe内的脚本访问Windows 2,top.href和类似的方法。这将是我想要实现的目标。
来自w3schools:
当沙箱属性存在时,它将:
- 阻止内容导航其顶级浏览上下文